JUNIPER防火墙配置维护web方式Word格式.docx
《JUNIPER防火墙配置维护web方式Word格式.docx》由会员分享,可在线阅读,更多相关《JUNIPER防火墙配置维护web方式Word格式.docx(29页珍藏版)》请在冰豆网上搜索。
1.通过多种类型的NetScreen设备,用户可以定义多个安全区,确切数目可根据网络需要来确定。
除用户定义的区段外,用户还可以使用预定义的区段:
Trust、Untrust和DMZ(用于第3层操作),或者V1-Trust、V1-Untrust和V1-DMZ(用于第2层操作)。
2.如果愿意,可以继续使用这些预定义区段。
也可以忽略预定义区段而只使用用户定义的区段。
3.另外,用户还可以同时使用这两种区段:
预定义和用户定义。
利用区段配置的这种灵活性,用户可以创建能够最好地满足用户的具体需要的网络设计。
图11网络图
第二章安装步骤
本章内容介绍juniper防火墙的安装设置。
二.1初始化配置
按以下连接防火墙,然后进行初始化设置。
1.Console方式
基于Console终端配置ISG2000的准备工作如下:
安装Windows操作系统的PC一台(装有超级终端)
ISG2000设备自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接ISG2000,一端连接COM,COM的参数设置如图21:
图21com属性
2.基于WEB方式
在浏览器地址栏键入http:
//10.147.66.65(ISG2000设备初始IP地址192.168.1.1),如下图22:
图22IE初始化打开登陆界面
使用Console端口做初始化配置。
Juniper防火墙的初始账号和密码分别为:
login:
netscreen
password:
netscreen
nsisg2000->
sethostnameFW01----------设置主机名称
FW01->
setintmgtip10.147.66.65/27---------设置管理端口的地址
将电脑网卡地址设置成和管理端口同一网段。
3.图形登陆
打开IE浏览器,并在URL:
输入防火墙的管理地址。
图23IE打开登陆界面
二.2端口设置
二.2.1设置HA端口
选择Network>
Interfaces>
Ethernet1/1>
Edit
在ZoneName:
HA---------将Ethernet1/1设置成HA心跳端口
图24HA端口设置界面
Ethernet1/2>
HA---------将Ethernet1/2
设置成HA心跳端口
图25HA心跳端口设置界面
二.2.2连接接口设置
Ethernet2/1>
Edit:
输入以下内容,单击OK
Untrust---------将Ethernet2/1设置成Untrust安全区域
IPAddress/Netwask:
10.0.0.251/25----------输入IP地址
图26连接接口设置界面
二.2.3Internet接口设置。
图27Internet接口设置界面
二.2.4设置redundant冗余接口
RedundantIF:
单击New
图28redundant冗余接口界面
InterfaceName:
Redundant1----------------建立red1接口
ZoneName:
Trust---------将Red1接口
设置成Trust安全区域
10.147.67.1/27----------输入IP地址和掩码
图29Redundant
图210redundant冗余接口界面
二.2.5建立red1冗余接口的成员
Ethernet3/2:
Asmemberofgroup:
redundant1
图211建立red1冗余接口的成员界面
Ethernet3/1:
图212建立red1冗余接口的成员界面
图213建立red1冗余接口的成员界面
二.3设置路由
二.3.1路由表选择
Network>
Routing>
RoutingEntries
图214路由表选择界面
二.3.2增加默认路由
RoutingEntries>
trust-vr>
New,输入以下内容,单击OK。
NetworkAddress/Netmask:
0.0.0.0/0
Gateway:
Interface:
ethernet2/2
GatewayIPAddress:
211.138.184.193------网关地址,CMNet6506接口地址
图215增加默认路由界面
二.3.3增加内部网络的路由
10.147.70.0/255.255.255.0
redundant1
10.147.70.2------网关地址,F5VRRP接口地址
输入10.147.70.30
图216增加内部网络的路由界面
二.4NAT设置
二.4.1设置Internet网端的NAT
Internet(List)
图217设置Internet网端的NAT界面
选择正确的接口。
Ethernet2/2接口是连接Internet接口,因此选择在该端口上设置NAT。
图218设置Internet网端的NAT界面
Interface>
Ethernet2/2>
Edit>
MIP(List)>
NEW
图219设置Internet网端的NAT界面
输入以下内容,单击OK。
MappedIP:
211.138.184.198-------公网WWW服务器地址
Network:
255.255.255.255
HostIPAddress:
10.147.67.68-------内网WWW服务器网卡地址
HostVirtualRouterName:
trust-vr
图220设置Internet网端的NAT界面
图221设置Internet网端的NAT界面
二.4.2设置10.0.0.0网端的地址翻译
Ethernet2/1>
图222设置10.0.0.0网端的地址翻译界面
选择MIP。
图223设置10.0.0.0网端的地址翻译界面
10.0.0.172-------服务地址
10.147.67.5-------F5设备VIP地址
输入:
10.147.70.5
图224设置10.0.0.0网端的地址翻译界面
二.5端口服务
选择Objects>
Services>
Custom:
图225设置端口服务界面
选择
,输入以下内容,单击OK。
图226设置端口服务界面
选择OK。
图227设置端口服务界面
增加其他的服务:
图228设置端口服务界面
二.6定义策略
二.6.1设置10.0.0.0网端访问防火墙内部业务处理机服务器的策略
选择Policy>
FromUntrust>
ToGlobal>
New
图229定义策略界面
SourceAddress:
AddressBookEntry:
Any
DestinationAddress:
AddressbookEntry:
MIP(10.0.0.172)
Service:
点击Multiple,选择以下服务
Brower_ud
DNS
ENUM_DNS_IN
ENUM_DNS_OUT
FTP
HTTP
HTTPS
Push_tcp
Radius_udp
Smsc5016_tcp
Snmp_GET_SET-UDP
SNMP_Trap_udp
Action:
Permit
Logging:
√
图230定义策略界面
在选择service的选择框。
图231定义策略界面
图232定义策略界面
二.6.2内部网络访问外部网络的策略定义
Policy>
FromTrust>
ToUntrust>
图233内部网络访问外部网络的策略定义界面
Any
any
图234内部网络访问外部网络的策略定义界面
二.7双机冗余NSRP配置
二.7.1激活NSRP
NSRP>
Cluster,输入以下内容,单击Apply
ClusterID:
1----------0是关闭NSRP功能,参数1-7是激活NSRP
NSRPAuthenticationPassword:
Netscreen
NSRPEncryptionPassword:
图235激活NSRP
二.7.2设置VSDGroup
VSDGroup>
Configuration,输入以下内容,单击OK。
GroupID:
Priority:
50
图236设置VSDGroupNSRP
二.7.3同步
Synchronization。
图237同步
二.7.4监控端口
NSRP监控的端口出现故障,两台做双机的设备将切换主/备关系。
NSRP>
Monitor>
VSDID:
0>
EditInterface。
图238监控端口
图239监控端口
二.7.5同步另一台配置
本操作必须在超级终端中设置。
同步过程中关键的信息只有在超级终端中才能看到。
该步骤将主防火墙的配置和备份防火墙的配置进行同步,设置前请先将主防火墙的配置备份一次。
使用超级终端登陆备份防火墙的console端口。
使用一下命令:
sethostnameFW02----------设置主机名称
FW02->
setintmgtip10.147.66.66/27---------设置管理端口的地址
setinte1/1zoneha---------设置HA心跳端口
setinte1/2zoneha---------设置HA心跳端口
setnsrpclusterid1
FW02(B)->
setnsrpvsd-groupid0priority100-------设备状态切换到备份状态
setnsrprto-mirrorsync---------NSRP的配置
execnsrpsyncrtoallfrompeer-------将从主设备上向备份主机同步会话状态信息
execnsrpsyncfilefrompeer-------将从主设备上向备份主机同步配置信息
execnsrpsyncglobal-configcheck-sum------将两台设备的配置进行校检,如有不同,备份的设备将会在重启后把主设备上的配置导入备份主机中
execnsrpsyncglobal-configsave-----如有不同,备份的设备将会在重启后把主设备上的配置导入备份主机中
以下信息只有在超级终端上才有显示:
FW02(B)->
execnsrpsyncglobal-configsave
loadpeersystemconfigtosave
Saveglobalconfigurationsuccessfully.
Continuetosavelocalconfigurations...Savelocalconfigurationsuccessfully.
done.
Pleaseresetyourboxtoletclusterconfigurationtakeeffect!
reset
Systemreset,areyousure?
y/[n]y
Inreset
重启备份防火墙,在重启的过程中,备份的防火墙将会从主设备上同步配置。
重启后在超级终端中显示如下:
Systemconfig(1242bytes)loaded
.Done.
Localconfig(209bytes)loaded
LoadSystemConfiguration
.......................................................Done
configurationinsync
SystemchangestatetoActive
(1)
Receivedallrun-time-objectfrompeer.
Login:
Netscreen防火墙的冗余配置结束,登录设备检查配置。
二.8账号管理
选择Configuration>
Admin>
Administrators>
Edit。
图240账号管理
二.9配置文件备份
Update>
Configfile>
SaveTOFile。
图241配置文件备份
图242配置文件备份
选择配置文件保存的目录。
图243配置文件备份
二.10版本升级步骤
升级前请将原有配置备份。
建议升级过程中使用超级终端连接到防火墙的Console端口上。
Update>
ScreenOS/KEY>
FirewareUpdate(ScreenOS)>
浏览。
图244版本升级
选择文件>
打开>
Apply。
图245版本升级